Control de variables (Get y post)

#1 (**permalink**) 27/04/2005, 07:00

Hola:

Estaba buscando informacion sobre como (una vez recogidas las variables via Post o Get) podria controlar que dichas variables no contienen codigo peligroso..

Digamos k uso:

Cita:

if (isset($HTTP_POST_VARS["guid"]) || isset($HTTP_GET_VARS["guid"])) {
if (isset($HTTP_POST_VARS["guid"])) $guid = $HTTP_POST_VARS["guid"];
elseif (isset($HTTP_GET_VARS["guid"])) $guid = $HTTP_GET_VARS["guid"];
}

Pero kerria controlar que guid es un numero entero. Algo como..

Cita:

$guid = compreba_variables($nombre_variable_guid,"entero", 1,400);

function comprueba_variables ( variable, tipo, min, max) {
// variable: Nombre de la variable a recoger por Post o Get
// tipo: Tipo de la variable: entero, decimal, texto, email
// min: Numero minimo en caso de ser un numero. Min caracteres en caso de texto o email
// max: Numero maximo en caso de ser un numero. Max caracteres en caso de texto o email
...
// RECOGER X POST O GET la variable si es k existe
...
if ($tipo=="entero") {
.............
}
else if ($tipo=="decimal") {
...........
}
else if ($tipo=="texto") {
// Ojo con posible SQL...
...........
}
else if ($tipo=="email"){
...........
}
return ($guid);
}

Se que tiene k existir algo de esto ya hecho pero no lo encuentro... me podeis ayudar a localizarlo o a rellenar esos puntos suspensivos?
Un saludo:
Iñigo Aldama

sism82 · #2 (**permalink**) 27/04/2005, 08:54

En donde tienes puntos suspensivos usa funciones de php como is_numeric, is_string is_array, y en el peor de los casos ereg() para comparar el dato contra una expresión regular, por ejemplo para el caso del email. En los casos mas simples, si no quieres validar, pero si asegurarte de que el valor sea del tipo que deseas, puedes usar casting (int)$valor, (float)$valor, (string)$valor. etc.

un saludo

yoseman · #3 (**permalink**) 27/04/2005, 09:13

Yo tengo una pequeña función que comprueba si una variable es del tipo que se permita y tambien comprueba minimo-maximo de la siguiente forma:

entero o decimal:compara si esta en el intervalo [$min;$max]
string: comprueba si la longitud de la cadena esta entre $min y $max
array: comprueba si el número de elementos del array está entre $min y $max

Pero claro no es exactamente lo mismo además de que falta lo del mail (creo que eso esta en las faqs)

De todas formas te lo pongo por si te sirve de algo:

Código PHP:

  <? 
// los tipos que puede devolver gettype son todos estos 
// $tipos_permitidos=array("integer","double","string","array","object","unknown type"); 
 
FUNCTION verifica_variable($mivariable,$tipos_permitidos,$min,$max) 
{ 
$comprueba_tipo_permitido=IN_ARRAY(GETTYPE($mivariable),$tipos_permitidos); 
$que_hacer_si_tipo_desconocido=FALSE; //FALSE ->ERROR    TRUE ->SEGUIR ADELANTE 
    SWITCH (GETTYPE($mivariable)) 
        { 
        CASE "integer" :  
        CASE "double" :          
            $comprueba_tipo_permitido*=(($min<=$mivariable) && ($max>=$mivariable)); 
            break; 
        CASE "string" :  
            $comprueba_tipo_permitido*=(($min<=(STRLEN($mivariable))) && ($max>=(STRLEN($mivariable)))); 
            break; 
        CASE "array" : 
            $comprueba_tipo_permitido*=(($min<=COUNT($mivariable)) && ($max>=COUNT($mivariable))); 
            break; 
        CASE("unknown type") : 
            $comprueba_tipo_permitido*=$que_hacer_si_tipo_desconocido; 
            break; 
        DEFAULT: 
            $comprueba_tipo_permitido=FALSE; 
        } 
 
RETURN ($comprueba_tipo_permitido); 
} 
$tipos_permitidos=array("integer","double","string","array","object","unknown type");

(no sé que diantres pasa que me pone espacios de mas en algunas partes :S)

Es distinto, porque tu pasas una varialbe del tipo que sea y un array con los tipos permitidos, y la función comprueba si está dentro de los requerimientos de min y max además de los tipos permitidos.

Salu2 ;)

sism82 · #4 (**permalink**) 27/04/2005, 12:32

yoseman: no se de donde tomaste la idea, pero a pesar de que php no sea case-sensitive, es mala idea usar mayúsculas con los nombres de las funciones.

IN_ARRAY, COUNT etc........ in_array(), count()

saludos

yoseman · #5 (**permalink**) 27/04/2005, 12:39

Tienes razón es una manía tonta que cogí... A ver si se me pasa.

Salu2 ;)